Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los filtros de firewall (serie QFX)

Los filtros de firewall, denominados en ocasiones listas de control de acceso (ACL), proporcionan reglas que definen si aceptar o descartar paquetes que estén en tránsito desde una interfaz. Si se acepta un paquete, puede configurar más acciones en el paquete, como el marcado de clase de servicio (CoS) (agrupar tipos de tráfico similares y tratar cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y las políticas de tráfico ( controlar la velocidad máxima de tráfico enviado o recibido).

Puede configurar filtros de cortafuegos para determinar dónde aceptar o descartar un paquete antes de entrar o salir de un puerto, VLAN, capa 2 CCC, capa 3 (enrutada), interfaz VLAN enrutada (RVI) o interfaz de MPLS.

Se aplica un filtro de Firewall de entrada a los paquetes que están entrando en una interfaz o VLAN, y un filtro de Firewall de salida se aplica a paquetes que salen de una interfaz o VLAN.

En la que puede aplicar filtros

Después de configurar el filtro de firewall, puede aplicarlo a lo siguiente:

  • Puerto: filtra el tráfico de capa 2 que transita por los puertos del sistema.

  • VLAN: filtra y proporciona control de acceso para los paquetes de capa 2 que ingresan a una VLAN, se une dentro de una VLAN o dejan una VLAN.

  • Interfaz de capa 3 (enrutada): filtra el tráfico en las interfaces IPv4 e IPv6, las interfaces VLAN enrutadas (RVI) y la interfaz de circuito cerrado. La interfaz de bucle de retroceso filtra el tráfico enviado al conmutador propiamente dicho o generado por el conmutador.

  • Interfaz CCC de capa 2: filtra las interfaces de conexión cruzada de circuitos (CCC) de capa 2.

  • MPLS: filtros MPLS interfaces.

También puede aplicar un filtro de Firewall a una interfaz de administración (por ejemplo, me0) en un conmutador independiente QFX y EX4600. No puede aplicar un filtro a una interfaz de administración en un QFX3000-G o QFX3000-M sistema.

Nota:

Sólo puede aplicar un filtro de cortafuegos a una interfaz CCC de puerto, VLAN o capa 2 para una dirección determinada. Por ejemplo, para interface GE-0/0/6.0, puede aplicar un filtro para la dirección de entrada y otro para la dirección de salida.

  • (Serie QFX) A partir de Junos OS versión 13.2 X51-D15, puede aplicar un filtro a una interfaz de bucle de retroceso en la dirección de salida.

  • (QFX10000) A partir de Junos OS versión 18.2 R1, se pueden aplicar filtros de cortafuegos de entrada y salida count con discard y como acciones de policía en las interfaces de circuitos de la capa 2.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos os versión 19.2 R1, puede aplicar el interface, forwarding-classel y loss-priority las condiciones de salida de la dirección en las interfaces IPv4 e IPv6.

Qué crea un filtro de Firewall

Cuando configure un filtro de cortafuegos, debe definir el tipo de dirección de familia (Ethernet-Switch, inet (para IPv4), inet6 (para IPv6), conexión cruzada de circuitos (CCC) o MPLS), los criterios de filtro (términos con condiciones de coincidencia) y la acción que debe llevarse a cabo si se produce una coincidencia.

Cada término consta de los siguientes

  • Condición de coincidencia: valores que un paquete debe contener para considerarse coincidir. Puede especificar valores para la mayoría de los campos de los encabezados IP, TCP, UDP o ICMP. También puede hacer coincidir con nombres de interfaz.

  • Acción: se toma una acción si un paquete coincide con una condición de coincidencia. Puede configurar un filtro de Firewall para aceptar, descartar o rechazar un paquete coincidente y, a continuación, llevar a cabo más acciones, como el recuento, la clasificación y las políticas. La acción predeterminada es aceptar.

Cómo se procesan los filtros del cortafuegos

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el conmutador toma la acción definida por ese término y no se evalúan otros términos. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, lo compara con el siguiente. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continuará comparando el paquete con cada término sucesivo del filtro hasta encontrar una coincidencia. Si no se corresponde con ningún término, el conmutador descarta el paquete de forma predeterminada.

Tabla de historial de versiones
Liberación
Descripción
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos os versión 19.2 R1, puede aplicar el interface, forwarding-classel y loss-priority las condiciones de salida de la dirección en las interfaces IPv4 e IPv6.
18.2R1
(QFX10000) A partir de Junos OS versión 18.2 R1, se pueden aplicar filtros de cortafuegos de entrada y salida count con discard y como acciones de policía en las interfaces de circuitos de la capa 2.
13.2X51-D15
(Serie QFX) A partir de Junos OS versión 13.2 X51-D15, puede aplicar un filtro a una interfaz de bucle de retroceso en la dirección de salida.